我有 stunnel 监听端口 80,并充当连接到 Apache 的客户端,监听端口 443。配置如下。我发现,如果我尝试连接到 localhost:80,连接正常,但如果我连接到 127.0.0.1:80 当我检查 Apache 的日志时,它表明 stunnel 两次都使用 localhost 作为 SNI,但 HTTP 请求在一个案例中列出了 localhost,在另一个案例中列出了 127.0.0.1。是否可以告诉 stunnel 使用 HTTP 请求中的任何内容,或者以某种方式配置两个客户端,每个客户端具有不同的 SNI 值? stunnel.c...
我希望这个标题很清楚。 如何防止未启用 ssl 的虚拟主机的 HTTPS 请求进入第一个启用 ssl 的虚拟主机(设置为 Apache-SNI)。 例如,使用下面的缩写配置,https://example.comApache 在启用 ssl 的 vhost 上为 (非 ssl vhost) 提供请求https://example.org。我想禁用该行为,并可能使用适当的 HTTP 响应代码进行回复 (不确定那是什么)。 这也许根本不可能,但我想我还是会问一下。 # I actually have a SNI setup, but it's not d...
是否可以在 apache 日志中记录与 SNI 关联的 IP 地址?我意识到连接时这是 SSL,所以如果现在不是,我想知道 apache 是否会添加它,这样至少当我在日志中看到以下内容时我们可以获取 IP 地址: [2013 年 5 月 15 日星期三 04:12:58] [错误] 未通过 SNI 为基于名称的虚拟主机提供主机名 我之所以问这个问题,是因为我看到很多黑客/探测尝试,并想使用 fail2ban 来禁止它们。 谢谢 ...
我在 Debian Squeeze 上为大约 30 个域使用了 nginx 1.2.7 和 OpenSSL 0.9.8o。在其中两个域上我启用了 SSL,两个域都运行正常。 SSL 配置用于两个域: listen 443 ssl; ssl_certificate /etc/nginx/ssl/example.org-unified.crt; ssl_certificate_key /etc/nginx/ssl/example.org.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES128-...
目标: 如果用户支持 SNI 并点击 myurl1.server.com (https) 或 myurl2.server.com (https),它将匹配正确的虚拟主机。(最后 2 个虚拟主机) 如果用户不支持 SNI 并访问 myurl1.server.com (https) 或 myurl2.server.com (https),它将被 fallback vhost(端口 443 上的第一个)捕获。它包含 SAN 证书,它将再次访问服务器进行匹配。这次它将访问最后 2 个 vhost。 如果用户输入未知的 http 或 https 网址,它将...
我在 IIS8 上设置了几个网站,所有网站都使用相同的通配符 SSL 证书。有些网站需要旧版浏览器和操作系统才能访问,因此我无法使用“需要服务器名称指示”选项。 由于并非所有设备都支持 SNI,因此 IIS 显示以下警告: “尚未创建默认 SSL 站点。为了支持不具备 SNI 功能的浏览器,建议创建默认 SSL 站点。” 如何创建默认 SSL 站点?最近的文章我发现不是很清楚,而且我感觉一定有一个更简单的解决方案。 服务器详细信息:Windows Server 2012,IIS8,一个外部 IP 地址 ...
我有一台服务器,它使用两个不同的域和两个不同的证书。除了 Windows XP 上的 IE8 之外,其他一切都运行正常,因为 Windows XP 不支持 TLS 服务器名称指示。为了解决这个问题,我想为第二个域购买一个专用 IP,并在 nginx 监听配置文件上设置这个 IP。 问题是,可以在 listen nginx 参数上设置专用 IP 吗? ...
这件事让我抓狂。我正在测试 SSL 证书,并使用不同的 SNI 来确定哪些是可接受的。我不拥有/管理该证书,因此依靠 s_client 提供信息。我知道有几种 SNI 可以工作。我还测试了一个不起作用的 SNI,因为我看到返回了“主机名不匹配”。 我可以使用 -verify_hostname 标志来查看哪些有效,哪些无效,使用以下命令: echo -n | openssl s_client -connect {IP_ADDR}:443 -servername {SERVER_NAME} -verify_hostname {HOSTNAME - same as...
.png)
我让 haproxy 为许多网站执行 sni 路由,没有任何问题。HTTP/2 运行良好。有没有办法在不安装任何证书的情况下为 HTTP/3 (quic) 设置 sni 类型路由? ...
我使用 2 台同步 IIS 服务器(作为故障转移的后端)和一个 nginx 反向代理(作为前端)。两台 IIS 服务器具有相同的配置和网站(由于同步)。所有网站都属于同一个域,我对所有网站都使用 SSL 通配符证书(*.example.com)。 我对每个站点都有两种不同的绑定。 第一个绑定使用 https 和一个与其他站点不同的唯一端口。例如,site1 使用 4433 端口,site2 使用 4434 端口等等。它还使用 ssl 通配符证书。它看起来像这样: 第一次装订 第二个绑定也使用 https,相同的 SSL 证书,但每个站点都使用 443 端口。...
我有一个公网 IP 地址。我尝试允许通过公网 IP 的 80 和 443 端口访问多个服务,并通过请求的服务器名称进行区分。 然而,有一项服务需要TCP在公共 IP 上的端口 80 和 443 上使用反向代理才能运行。另一个需要 TCP 反向代理,但只在端口 443 上使用。其余的只是网站,使用 http 反向代理就可以了,但我希望网站在端口 80 和 443 上可以公开访问,以方便访问者和 letsencrypt。 我可以根据需要启动任意数量的 VM 和私有 IP 以使其保持简单,但仅限于一个公共 IP 地址...
我有一个 apache2 反向代理,它代理许多服务,包括 zabbix 和 nextcloud,并将通配符 SSL 证书应用于所述服务。这些都是单独的虚拟主机,但它们都使用相同的 CA 验证通配符 SSL 证书。原则上,这运行良好。zabbix 服务器和 nextcloud 服务器是它们自己的 VM,如果我在 Firefox 中加载“https://zabbix.domain.tld”或“https://nextcloud.domain.tld”,一切都很顺利,服务器日志中没有任何错误。 但是,如果我加载 Firefox 并打开 2 个选项卡,一个带有“ht...
我的服务器上有一个应用程序后端,它在中国有很多用户,并且使用 websocket,我正在做一些测试来绕过 GFW 对 SNI 的阻止,我们可以连接到中国的 Cloudflare Websocket 网站,但几天后整个域名就会被阻止! 所以我现在正在做的是这样的设置: Address: another domain using cloudflare doesn't matter which one Host: Your own subdomain, like sub.example.com, which has an A record to your own ...
背景 考虑 4 个假设的 FQDN,它们都解析为 192.0.2.42: 示例.com www.example.com foo.example.org legacy.example.net 现在,考虑两个假设的服务器绑定到 192.0.2.42(显然,不是同时的......我只是说明两种不同的情况): 服务器有一个默认的“站点”。任何指向解析为服务器 IP 地址的 FQDN 端口 443 的 https 请求最终都会映射到该 IP 地址。 服务器已启用基于名称的虚拟主机。example.com 和www.example.com是全部捕获的默认值。fo...